고정 외부 IP 주소 예약

가상 머신(VM) 인스턴스에 변경되지 않는 고정 외부 IP 주소가 필요한 경우 다음 옵션 중 하나를 사용하면 VM 인스턴스의 고정 외부 IP 주소를 확보할 수 있습니다.

내부 Compute Engine 네트워크에 고정 IP 주소가 필요한 경우 고정 내부 주소 예약을 참조하세요.

Compute Engine에서 각 VM 인스턴스는 여러 네트워크 인터페이스를 가질 수 있습니다. 각 인터페이스는 내부 및 외부 IP 주소를 모두 포함할 수 있습니다. 전달 규칙에는 외부 부하 분산을 위한 외부 IP 주소 또는 내부 부하 분산을 위한 내부 주소를 지정할 수 있습니다. IP 주소에 대해 자세히 알아보려면 IP 주소 문서를 읽어보세요.

시작하기 전에

새로운 고정 외부 IP 주소 예약

고정 외부 IP 주소는 사용자가 해제하도록 결정할 때까지 프로젝트를 위해 예약되는 외부 IP 주소입니다. 고객 또는 사용자가 서비스에 액세스하기 위해 사용하는 IP 주소가 있는 경우 해당 프로젝트만 사용할 수 있도록 이 IP 주소를 예약할 수 있습니다. 또한 임시 외부 IP 주소를 고정 외부 IP 주소로 승격할 수도 있습니다.

다음과 같은 두 가지 유형의 외부 IP 주소를 예약할 수 있습니다.

고정 외부 IP 주소는 gcloud 명령줄 도구 또는 API를 통해 예약할 수 있습니다. 주소를 예약한 다음에는 새로 만드는 인스턴스 또는 기존 인스턴스에 이 주소를 할당할 수 있습니다.

제한사항

  • 한 번에 하나의 리소스만 고정 외부 IP 주소를 사용할 수 있습니다.

  • 리소스에 IP 주소가 할당된 다음에는 해당 프로젝트에 예약된 고정 외부 IP 주소 목록과 IP 주소를 비교하는 경우를 제외하고, IP 주소가 고정 주소인지 또는 임시 주소인지 확인할 수 있는 방법이 없습니다. 프로젝트에서 사용 가능한 고정 외부 IP 주소의 목록을 확인하려면 addresses list 하위 명령어를 사용하세요.

  • 각 VM 인스턴스는 여러 네트워크 인터페이스를 포함할 수 있지만, 각 인터페이스는 임시 또는 고정 외부 IP 주소 중 하나만 가질 수 있습니다.

참고: 네트워크 인터페이스는 여러 전달 규칙으로부터 트래픽을 수신하며 이 전달 규칙은 다른 외부 IP 주소에도 적용될 수 있습니다. 여러 외부 IP 주소가 이러한 전달 규칙을 통해 네트워크 인터페이스를 참조할 수 있지만, 각 네트워크 인터페이스는 패킷을 인터페이스의 내부 IP 주소로 변환하는 외부 IP 주소를 하나만 포함할 수 있습니다.

부하 분산 및 전달 규칙에 대한 자세한 내용은 부하 분산 문서를 읽어보세요.

Console

  1. Cloud Console에서 고정 주소 예약 페이지로 이동합니다.

    고정 주소 예약 페이지로 이동

  2. 새 주소의 이름을 선택합니다.

  3. 이 주소가 IPv4 또는 IPv6 주소인지 지정합니다. IPv6 주소는 전역만 가능하며, 전역 HTTP(S), SSL 프록시, TCP 프록시 부하 분산기에서만 사용할 수 있습니다.

  4. 이 IP 주소가 리전 또는 전역인지 선택합니다. 인스턴스 또는 네트워크 부하 분산기에 대해 고정 IP 주소를 예약하는 경우에는 리전을 선택합니다. HTTP(S), SSL 프록시 또는 TCP 프록시 부하 분산기에 대해 고정 IP 주소를 예약하는 경우에는 전역을 선택합니다.

  5. 리전 IP 주소인 경우에는 주소를 만들 리전을 선택합니다.

  6. IP를 연결할 리소스를 선택합니다(선택사항).

  7. 예약을 클릭하여 IP를 예약합니다.

gcloud

gcloud compute를 사용하여 새 고정 외부 IP 주소를 예약하려면 compute addresses create 명령어를 사용하고 전역 또는 리전 IP 주소 중 어떤 것을 예약할지 지정합니다.

gcloud compute addresses create ADDRESS_NAME \
    [--region REGION | --global ] \
    [--ip-version [IPV4 | IPV6]]

각 항목의 의미는 다음과 같습니다.

  • ADDRESS_NAME: 주소의 이름입니다.
  • 리전 IP 주소를 지정하는 경우 해당 요청에 사용할 REGION을 제공합니다. 이 리전은 IP 주소를 연결하려는 리소스와 동일한 리전이어야 합니다.
  • 전역 IP 주소인 경우에는 --global 플래그를 지정합니다. IPv6 주소를 원하는 경우에는 --global--ip-version IPV6 플래그를 모두 지정합니다. IPv6 주소는 전역만 가능하며, 전역 HTTP(S), SSL 프록시, TCP 프록시 부하 분산기에서만 사용할 수 있습니다.

결과를 보려면 다음과 같이 compute addresses describe 명령어를 사용합니다.

gcloud compute addresses describe ADDRESS_NAME

API

리전 IPv4 주소를 만들려면 리전 addresses.insert 메서드를 호출합니다.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/addresses

요청 본문에는 다음이 포함되어야 합니다.

{
  name: "ADDRESS_NAME"
}

다음을 바꿉니다.

  • ADDRESS_NAME: 주소의 이름입니다.
  • REGION: 요청의 리전 이름입니다.
  • PROJECT_ID: 이 요청의 프로젝트 ID입니다.

전역 고정 IPv4 주소의 경우 globalAddresses.insert 메서드를 호출합니다.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses

요청 본문에는 다음이 포함되어야 합니다.

{
  name: "ADDRESS_NAME"
}

전역 고정 IPv6 주소의 경우 globalAddresses.insert 메서드를 호출합니다.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses

요청 본문에는 다음이 포함되어야 합니다.

{
  "name": "ADDRESS_NAME",
  "ipVersion": "IPV6"
}

결과를 보려면 addresses.get 메서드를 사용하세요.

새로운 VM 인스턴스에 고정 외부 IP 주소 할당

VM 인스턴스를 만들면 임시 외부 IP 주소가 자동으로 할당됩니다. 임시 외부 IP 주소를 원하지 않으면 대신 인스턴스에 고정 외부 IP 주소를 명시적으로 할당할 수 있습니다.

Console

  1. Cloud Console에서 VM 인스턴스 페이지로 이동합니다.

    VM 인스턴스 페이지로 이동

  2. 인스턴스 만들기를 클릭합니다.
  3. 새 인스턴스 만들기 페이지에서 인스턴스의 속성을 입력합니다.
  4. 관리, 보안, 디스크, 네트워킹, 단독 테넌시 섹션을 펼칩니다.
  5. 네트워킹을 클릭합니다.
  6. 네트워크 인터페이스에서 기본 네트워크 인터페이스를 클릭하여 수정합니다.
  7. 외부 IP 섹션의 드롭다운 메뉴에서 앞서 예약한 고정 외부 IP 주소를 선택합니다.
  8. 완료를 클릭하여 기본 네트워크 인터페이스 수정을 완료합니다.
  9. 만들기를 클릭하여 인스턴스를 만듭니다.

gcloud

고정 외부 IP 주소를 할당하려면 인스턴스를 만들 때 --address 플래그를 사용하여 고정 외부 IP 주소를 제공합니다.

gcloud compute instances create INSTANCE_NAME --address IP_ADDRESS

다음을 바꿉니다.

  • INSTANCE_NAME: 인스턴스 이름입니다.
  • IP_ADDRESS: 인스턴스에 할당할 IP 주소입니다. 주소 이름이 아닌 IP 주소를 사용하세요.

API

새 인스턴스 만들기 요청에서 networkInterfaces[].accessConfigs[].natIP 속성과 사용하려는 외부 IP를 명시적으로 제공합니다. 예를 들면 다음과 같습니다.

{
  "name": "INSTANCE_NAME",
  "machineType": "zones/ZONE/machineTypes/MACHINE_TYPE",
  "networkInterfaces": [{
    "accessConfigs": [{
      "type": "ONE_TO_ONE_NAT",
      "name": "External NAT",
      "natIP": "IP_ADDRESS"
     }],
    "network": "global/networks/default"
  }],
  "disks": [{
     "autoDelete": "true",
     "boot": "true",
     "type": "PERSISTENT",
     "initializeParams": {
        "sourceImage": "projects/debian-cloud/global/images/v20150818"
     }
   }]
 }

외부 IP 주소 변경 또는 기존 인스턴스에 할당

인스턴스의 액세스 구성을 수정하여 임시 또는 고정 외부 IP 주소를 변경하거나 기존 인스턴스에 할당할 수 있습니다.

인스턴스는 여러 인터페이스를 가질 수 있고 각 인터페이스는 외부 IP 주소를 가질 수 있습니다. 인스턴스에 이미 외부 IP 주소가 있는 경우 이전 액세스 구성을 삭제하여 해당 주소를 먼저 삭제해야 합니다. 그런 다음 새로운 외부 IP 주소를 사용하여 새 액세스 구성을 추가할 수 있습니다.

Console

  1. Cloud Console에서 VM 인스턴스 페이지로 이동합니다.

    VM 인스턴스 페이지로 이동

  2. 외부 IP를 할당하려는 인스턴스 이름을 클릭합니다. 인스턴스 세부정보 페이지가 표시됩니다.
  3. 인스턴스 세부정보 페이지에서 다음 단계를 완료합니다.

    1. 수정을 클릭합니다.
    2. 네트워크 인터페이스에서 수정 버튼을 클릭합니다.

      네트워크 인터페이스 섹션

    3. 외부 IP에서 인스턴스에 할당하려는 임시 또는 고정 외부 IP 주소를 선택합니다.

      내부 및 외부 IP 옵션

    4. 완료를 클릭합니다.

    5. 저장을 클릭합니다.

gcloud

  1. [선택사항] 고정 외부 IP 주소를 예약합니다.

    고정 외부 IP 주소를 할당하려는 경우에는 주소를 예약하고 해당 주소가 다른 리소스에서 현재 사용되고 있지 않은지 확인해야 합니다. 필요한 경우에는 안내에 따라 새 고정 외부 IP 주소를 예약하거나 고정 외부 IP 주소를 할당 해제합니다.

    임시 외부 IP 주소를 사용하려는 경우에는 이 단계를 건너 뛰고, Compute Engine이 임시 외부 IP 주소를 무작위로 할당하도록 할 수 있습니다.

  2. 기존 액세스 구성을 삭제합니다.

    인스턴스는 액세스 구성을 하나만 가질 수 있습니다. 인스턴스에 새로운 액세스 구성을 할당하려고 시도하기 전에 gcloud compute instances describe 요청을 수행하여 해당 인스턴스에 액세스 구성이 포함되어 있지 않은지 확인하세요.

    gcloud compute instances describe INSTANCE_NAME

    기존 액세스 구성이 있으면 해당 액세스 구성이 다음 형식으로 표시됩니다.

    networkInterfaces:
    - accessConfigs:
      - kind: compute#accessConfig
        name: external-nat
        natIP: 130.211.181.55
        type: ONE_TO_ONE_NAT
    

    새로운 액세스 구성을 추가하려면 먼저 instances delete-access-config 하위 명령어를 사용하여 기존 액세스 구성을 삭제해야 합니다.

    gcloud compute instances delete-access-config INSTANCE_NAME \
        --access-config-name "ACCESS_CONFIG_NAME"

    다음을 바꿉니다.

    • INSTANCE_NAME: 인스턴스 이름입니다.
    • ACCESS_CONFIG_NAME: 삭제할 액세스 구성입니다. 따옴표 사이에 전체 이름을 포함해야 합니다.
  3. 새로운 외부 IP 주소를 추가합니다.

    instances add-access-config 하위 명령어를 사용하여 새로운 외부 IP 주소를 추가합니다.

    참고: IP_ADDRESS를 고정 IP 이름으로 바꾸지 마세요. 실제 IP 주소를 사용해야 합니다.
    gcloud compute instances add-access-config INSTANCE_NAME \
       --access-config-name "ACCESS_CONFIG_NAME" --address IP_ADDRESS

    다음을 바꿉니다.

    • INSTANCE_NAME: 인스턴스 이름입니다.
    • ACCESS_CONFIG_NAME: 액세스 구성의 이름입니다. 따옴표 사이에 전체 이름을 포함해야 합니다.
    • IP_ADDRESS: 추가할 IP 주소입니다.

    고정 외부 IP 주소를 사용하는 대신 Compute Engine이 임시 외부 IP 주소를 할당하도록 하려면 --address IP_ADDRESS 속성을 생략합니다.

    gcloud compute instances add-access-config INSTANCE_NAME \
        --access-config-name "ACCESS_CONFIG_NAME"

임시 외부 IP 주소 승격

인스턴스에 임시 외부 IP 주소가 있고 이 IP를 프로젝트에 영구적으로 할당하려는 경우에는 임시 외부 IP 주소를 고정 외부 IP 주소로 승격합니다. 임시 외부 IP 주소를 예약 주소로 승격해도 Google Cloud에서 인스턴스로 전송된 패킷을 삭제하지 않습니다. 여기에는 인스턴스에 바로 전송되거나 부하 분산기를 이용해 전송된 패킷도 포함됩니다.

Console

  1. Cloud Console에서 외부 IP 주소 페이지로 이동합니다.

    외부 IP 주소 페이지로 이동

  2. 유형 열에서 승격하려는 IP 주소에 대해 주소 유형을 고정으로 변경합니다.
  3. 새로운 고정 IP 주소의 이름을 제공하고 예약을 클릭합니다.

gcloud

임시 외부 IP 주소를 고정 외부 IP 주소로 승격하려면 --addresses 플래그를 compute addresses create 명령어와 함께 사용하여 임시 외부 IP 주소를 제공합니다. region 플래그를 사용하여 임시 리전 IP 주소를 승격하거나 global 플래그를 사용하여 임시 전역 IP 주소를 승격합니다.

gcloud compute addresses create ADDRESS_NAME \
  --addresses IP_ADDRESS \
  [--region REGION | --global]

다음을 바꿉니다.

  • ADDRESS_NAME: 주소의 이름입니다.
  • IP_ADDRESS: 승격할 IP 주소입니다.
  • REGION: 리전 IP 주소가 속한 리전입니다.

API

임시 리전 IP 주소를 승격하려면 addresses.insert 메서드를 호출합니다.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/addresses

요청 본문에는 다음이 포함되어야 합니다.

{
  name: "ADDRESS_NAME",
  address: "IP_ADDRESS"
}

다음을 바꿉니다.

  • ADDRESS_NAME: 주소의 이름입니다.
  • IP_ADDRESS: 승격할 IP 주소입니다.
  • REGION: IP 주소가 속한 리전입니다.
  • PROJECT_ID: 이 요청의 프로젝트 ID입니다.

임시 전역 IP 주소를 승격하려면 다음 URI에 POST 요청을 실행합니다.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses

요청 본문에는 다음이 포함되어야 합니다.

{
  name: "ADDRESS_NAME",
  address: "IP_ADDRESS"
}

다음을 바꿉니다.

  • ADDRESS_NAME: 주소의 이름입니다.
  • IP_ADDRESS: 승격할 IP 주소입니다.
  • PROJECT_ID: 이 요청의 프로젝트 ID입니다.

외부 IP 주소는 고정 외부 IP 주소로 승격된 후에도 인스턴스에 연결된 상태로 유지됩니다. 새로 승격된 고정 외부 IP 주소를 다른 리소스에 할당하려면 기존 인스턴스에서 고정 외부 IP 주소를 할당 해제합니다.

고정 외부 IP 주소 나열

프로젝트에 대해 예약한 고정 외부 IP 주소를 나열하려면 addresses list를 실행하거나 API에 GET 요청을 실행합니다.

Console

Cloud Console에서 외부 IP 주소 페이지로 이동하여 프로젝트의 IP 주소 목록을 확인합니다.

외부 IP 주소 페이지로 이동

gcloud

compute addresses list 명령어를 사용합니다.

gcloud compute addresses list

API

addresses.list 메서드를 호출합니다.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/addresses

다음을 바꿉니다.

  • REGION: 요청의 리전 이름입니다.
  • PROJECT_ID: 이 요청의 프로젝트 ID입니다.

모든 리전의 모든 주소를 나열하려면 aggregatedList 메서드를 호출합니다.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/addresses

고정 외부 IP 주소 설명

고정 외부 IP 주소에 대한 정보를 가져 오려면 Console, gcloud 도구 또는 API를 사용하세요.

Console

  1. Cloud Console에서 외부 IP 주소 페이지로 이동합니다.

    외부 IP 주소 페이지로 이동

  2. 자세한 정보를 확인하려는 IP 주소를 클릭합니다.

gcloud

addresses describe 명령어를 사용하고 ADDRESS_NAME을 설명하려는 외부 IP 주소의 이름으로 바꿉니다.

gcloud compute addresses describe ADDRESS_NAME

API

addresses.get 메서드를 호출합니다.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/addresses/ADDRESS_NAME

다음을 바꿉니다.

  • ADDRESS_NAME: IP 주소의 이름입니다.
  • REGION: 요청의 리전 이름입니다.
  • PROJECT_ID: 이 요청의 프로젝트 ID입니다.

고정 외부 IP 주소 할당 해제

인스턴스를 삭제하거나 해당 주소를 사용 중인 인스턴스에 연결된 액세스 구성을 삭제하여 고정 외부 IP 주소를 할당 해제할 수 있습니다. 고정 외부 IP 주소를 할당 해제하면 해당 고정 외부 IP 주소를 다른 리소스에 다시 할당할 수 있습니다.

IP 주소를 할당 해제하면 리소스에서 삭제되지만, IP 주소가 프로젝트에 예약된 상태로 유지됩니다. gcloud compute addresses list 요청을 수행하면 고정 IP 주소가 사용되고 있는지 확인할 수 있습니다.

gcloud compute addresses list

응답은 다음과 비슷하게 표시됩니다.

NAME                 REGION      ADDRESS            STATUS
example-address      REGION    130.211.160.207    RESERVED
example-address-new  REGION    130.211.114.137    IN_USE

이 예시에서는 현재 example-address-new가 사용되고 있습니다.

인스턴스의 액세스 구성을 삭제하고 고정 외부 IP 주소를 할당 해제하려면 다음 단계를 따르세요.

  1. 삭제하려는 액세스 구성의 이름을 가져옵니다. 이름을 가져오려면 gcloud compute instances describe 명령어를 사용합니다. INSTANCE_NAME을 인스턴스 이름으로 바꿉니다.

    gcloud compute instances describe INSTANCE_NAME

    액세스 구성은 다음 형식으로 표시됩니다.

    networkInterfaces:
    - accessConfigs:
     - kind: compute#accessConfig
       name: external-nat
       natIP: 130.211.181.55
       type: ONE_TO_ONE_NAT
    
  2. 액세스 구성을 삭제합니다.

    instances delete-access-config 명령어를 사용합니다.

    gcloud compute instances delete-access-config INSTANCE_NAME \
            --access-config-name "ACCESS_CONFIG_NAME"

    다음을 바꿉니다.

    • INSTANCE_NAME: 인스턴스 이름입니다.
    • ACCESS_CONFIG_NAME: 삭제할 액세스 구성의 이름입니다. 따옴표 사이에 전체 이름을 포함해야 합니다.
  3. 고정 외부 IP 주소를 사용할 수 있고 IN_USE 대신 RESERVED로 표시되었는지 확인합니다.

    gcloud compute addresses list

    예:

    NAME                 REGION      ADDRESS            STATUS
    example-address      REGION      130.211.160.207    RESERVED
    example-address-new  REGION      130.211.114.137    RESERVED

이제 고정 외부 IP 주소를 사용할 수 있으므로, 이를 다른 인스턴스에 할당하도록 선택할 수 있습니다.

고정 외부 IP 주소 해제

고정 외부 IP 주소가 더 이상 필요하지 않으면 다른 Compute Engine 사용자를 위한 일반 IP 풀로 반환되도록 해당 주소를 해제할 수 있습니다.

Console

  1. Cloud Console에서 외부 IP 주소 페이지로 이동합니다.

    외부 IP 주소 페이지로 이동

  2. 해제할 IP 주소 옆에 있는 상자를 선택합니다.
  3. Release IP address(IP 주소 해제)를 클릭합니다.

gcloud

compute addresses delete 명령어를 사용합니다. ADDRESS_NAME을 해제할 IP 주소의 이름으로 바꿉니다.

gcloud compute addresses delete ADDRESS_NAME

API

addresses.delete 메서드를 호출합니다.

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/addresses/ADDRESS_NAME

다음을 바꿉니다.

  • ADDRESS_NAME: IP 주소의 이름입니다.
  • REGION: 요청의 리전 이름입니다.
  • PROJECT_ID: 이 요청의 프로젝트 ID입니다.

외부 IP 주소를 특정 VM 인스턴스로 제한

특정 워크로드에서는 기본적인 요구사항에 따라 보안 및 네트워크 제한사항이 포함될 수 있습니다. 예를 들어 필요하다면 특정 VM 인스턴스만 외부 IP 주소를 사용하도록 제한할 수 있습니다. 이렇게 하면 데이터 무단 반출을 방지하거나 네트워크 격리를 유지하는 데 도움이 될 수 있습니다. 조직 정책을 사용하면 조직 또는 프로젝트 내에서 VM 인스턴스의 외부 IP 주소 사용을 제어하는 제약 조건이 포함된 특정 VM 인스턴스에서만 외부 IP 주소를 사용할 수 있습니다.

VM 인스턴스에서 외부 IP 주소 제어를 위한 제약조건은 다음과 같습니다.

constraints/compute.vmExternalIpAccess

제약조건을 사용하기 위해서는 외부 IP 주소를 포함할 수 있는 VM 인스턴스의 allowedList를 사용하여 정책을 지정합니다. 정책이 지정되지 않은 경우 모든 VM 인스턴스에 대해 모든 외부 IP 주소가 허용됩니다. 정책이 적용되면 allowedValues 목록에 나열된 VM 인스턴스에만 외부 IP 주소(임시 또는 고정)를 할당할 수 있고, 조직 또는 프로젝트에서 정책에 명시적으로 정의되지 않은 다른 Compute Engine VM 인스턴스는 외부 IP 주소 사용이 금지됩니다.

VM은 허용 및 거부 목록에서 인스턴스의 URL을 사용하여 식별됩니다.

projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME

사양

  • 목록 제약조건은 VM 인스턴스에만 적용할 수 있습니다.
  • 이 제약조건은 소급해서 적용할 수 없습니다. 정책을 사용 설정하기 전에 외부 IP 주소가 있었던 모든 VM 인스턴스의 경우 해당 외부 IP 주소가 보존됩니다.
  • 이 제약조건은 allowedList 또는 deniedList를 허용하지만 동일 정책에서 둘 다 허용하지는 않습니다.
  • 적절한 권한이 있는 사용자 또는 관리자가 인스턴스 수명 주기 및 무결성을 관리 및 유지관리할 수 있습니다. 이 제약조건은 인스턴스의 URL만 확인하며, 허용 목록에 있는 VM이 변경, 삭제 또는 재생성되는 것을 방지하지 않습니다.

권한

프로젝트 또는 조직 수준에서 제약조건을 설정하려면 해당 조직에서 orgpolicy.policyAdmin 역할을 부여 받아야 합니다.

조직 수준에서 정책 제약조건 설정

외부 IP 주소에 대해 제약조건을 설정하려면 먼저 조직 ID가 필요합니다.

조직 ID 찾기

Console

Google Cloud Console에서 ID를 찾을 수도 있습니다.

  1. Google Cloud Console에 로그인합니다.
  2. 프로젝트 선택기를 클릭합니다.

    조직 및 프로젝트 선택기

  3. 조직을 선택하고 조직 ID를 찾습니다.

    조직 ID

gcloud

다음과 같이 organizations list 명령어를 실행하고 응답에서 ID를 찾으면 숫자 n을 찾을 수 있습니다.

gcloud organizations list

gcloud 도구는 다음과 같은 결과를 반환합니다.

DISPLAY_NAME           ID
example-organization   29252605212

정책 제약조건 설정

Console

  1. 조직 정책 페이지로 이동합니다.

    조직 정책 페이지로 이동

  2. 필요에 따라 프로젝트 드롭다운 메뉴에서 원하는 조직을 선택합니다.
  3. VM 인스턴스에 허용되는 외부 IP 정의를 클릭합니다.
  4. 수정을 클릭하여 외부 IP 정책을 수정합니다. 수정 도구에 액세스할 수 없으면 적절한 권한이 없는 것입니다.
  5. CPU 플랫폼 및 GPU를 선택하여 특정 VM 인스턴스에 대해 특정 조직 정책을 설정합니다.

    조직 정책 맞춤설정

  6. 원하는 정책 시행정책 유형을 선택합니다.

  7. 정책 값에서 커스텀을 선택합니다.

  8. VM 인스턴스의 URL 일부를 입력하고 Enter를 누릅니다. 계속해서 원하는 대로 VM 인스턴스를 입력합니다.

    조직 정책에 VM 인스턴스 추가

  9. 저장을 클릭하여 변경사항을 저장합니다.

gcloud

gcloud beta resource-manager org-policies set-policy 명령어를 사용하여 정책을 설정합니다. 정책을 JSON 파일로 제공해야 합니다. 아래와 비슷한 JSON 파일을 만듭니다.

{
"constraint": "constraints/compute.vmExternalIpAccess",
"listPolicy": {
  "allowedValues": [
     "projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME",
     "projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME",
     "projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME"
  ]
 }
}

다음을 바꿉니다.

  • PROJECT_ID: 요청의 프로젝트 ID입니다(예: example-project). 이것은 조직 숫자 ID가 필요한 조직 정책 설정과 다릅니다.
  • ZONE: 인스턴스의 영역입니다.
  • INSTANCE_NAME: 인스턴스 이름입니다.

또는 deniedValues 목록을 지정하여 외부 IP 주소를 갖지 못하도록 명시적으로 금지할 VM 인스턴스를 표시할 수 있습니다. 목록에 없는 인스턴스는 모두 외부 IP 주소를 갖도록 암시적으로 허용됩니다. allowedValues 또는 deniedValues 중 하나를 지정할 수 있지만 둘 다 지정할 수는 없습니다.

그런 다음 요청을 사용해서 파일을 전달합니다.

gcloud beta resource-manager org-policies set-policy MY_POLICY.JSON --organization ORGANIZATION_ID

ORGANIZATION_ID를 조직의 숫자 ID로 바꿉니다.

인스턴스에 외부 IP 주소가 사용되지 않도록 하려면 정책 allValuesDENY로 설정할 수 있습니다.

{
  "constraint": "constraints/compute.vmExternalIpAccess",
  "listPolicy": {
    "allValues": "DENY"
  }
}

API

setOrgPolicy() API를 사용하여 제약조건을 정의합니다. 사용자가 지정하는 allowedValue 목록의 VM은 외부 IP 주소를 가질 수 있습니다. 또는 deniedValues 목록을 지정하여 외부 IP 주소를 갖지 못하도록 명시적으로 금지할 VM 인스턴스를 표시할 수 있습니다. 목록에 없는 인스턴스는 모두 외부 IP 주소를 갖도록 암시적으로 허용됩니다. allowedValues 또는 deniedValues 중 하나를 지정할 수 있지만 둘 다 지정할 수는 없습니다.

예를 들어 다음은 조직 내 특정 프로젝트의 VM 인스턴스가 외부 IP 주소를 갖도록 허용되는 compute.vmExternalIpAccess 제약조건을 조직에 설정하기 위한 요청입니다.

POST https://cloudresourcemanager.googleapis.com/v1/organizations/ORGANIZATION_ID:setOrgPolicy

여기서 ORGANIZATION_ID는 조직의 숫자 ID입니다.

이제 요청 본문에서 이 제약조건에 필요한 정책을 제공합니다.

{
  "policy": {
    "constraint": "constraints/compute.vmExternalIpAccess",
    "listPolicy": {
      "allowedValues": [
        "projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME",
        "projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME",
        "projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME"
        ]
      }
    }
 }

인스턴스에 외부 IP 주소가 사용되지 않도록 하려면 정책 allValuesDENY로 설정할 수 있습니다.

{
  "policy": {
    "constraint": "constraints/compute.vmExternalIpAccess",
    "listPolicy": {
      "allValues": "DENY"
      }
    }
 }

프로젝트 수준에서 정책 설정

프로젝트 수준에서 정책을 설정하면 조직 수준의 정책이 재정의됩니다. 예를 들어 조직 수준에서 allowedValues 목록에 example-vm-1이 있지만, 프로젝트 수준의 정책에서 deniedValues 목록에 동일한 VM이 있는 경우 VM 인스턴스가 외부 IP 주소를 갖도록 허용되지 않습니다.

Console

조직 수준에서 정책 제약조건 설정에 설명된 것과 동일한 절차를 따르지만, 조직 대신 프로젝트 선택기에서 원하는 프로젝트를 선택합니다.

프로젝트 선택기

gcloud

gcloud beta resource-manager org-policies set-policy 명령어를 사용하여 정책을 설정합니다. 정책을 JSON 파일로 제공해야 합니다. 아래와 비슷한 JSON 파일을 만듭니다.

{
 "constraint": "constraints/compute.vmExternalIpAccess",
 "listPolicy": {
  "allowedValues": [
   "projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME"
  ]
 }
}

다음을 바꿉니다.

  • PROJECT_ID: 요청의 프로젝트 ID입니다(예: example-project). 이는 조직 숫자 ID가 필요한 조직 정책 설정과 다릅니다.
  • ZONE: 인스턴스의 영역입니다.
  • INSTANCE_NAME: 인스턴스 이름입니다.

또는 외부 IP 주소를 갖지 못하도록 명시적으로 금지할 VM 인스턴스의 deniedValues 목록을 지정할 수 있습니다. 목록에 없는 인스턴스는 모두 외부 IP 주소를 갖도록 암시적으로 허용됩니다. allowedValues 또는 deniedValues 중 하나를 지정할 수 있지만 둘 다 지정할 수는 없습니다.

그런 다음 요청을 사용해서 파일을 전달합니다.

gcloud beta resource-manager org-policies set-policy MY_POLICY.JSON --project example-project

API

setOrgPolicy() API를 사용하여 제약조건을 정의합니다. 사용자가 지정하는 allowedValue 목록의 VM은 외부 IP 주소를 가질 수 있습니다. 또는 deniedValues 목록을 지정하여 외부 IP 주소를 갖지 못하도록 명시적으로 금지할 VM 인스턴스를 표시할 수 있습니다. 목록에 없는 인스턴스는 모두 외부 IP 주소를 갖도록 암시적으로 허용됩니다. allowedValues 또는 deniedValues 중 하나를 지정할 수 있지만 둘 다 지정할 수는 없습니다.

예를 들어 다음은 특정 VM 인스턴스가 외부 IP 주소를 갖도록 허용하는 compute.vmExternalIpAccess 제약조건을 프로젝트에 설정하기 위한 요청입니다.

POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setOrgPolicy

PROJECT_ID를 이 요청의 프로젝트 ID로 바꿉니다.

요청 본문에는 이 제약조건에 필요한 정책이 포함됩니다.

{
 "policy": {
  "constraint": "constraints/compute.vmExternalIpAccess",
  "listPolicy": {
   "allowedValues": [
    "projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME"
   ]
  }
 }
}

권장사항

  • Google은 이 제약조건과 함께 deniedValues 목록을 사용하지 않도록 권장합니다. deniedValues 목록에 값을 정의하면 deniedValues 목록에 있는 VM 인스턴스만 외부 IP 주소 사용이 제한됩니다. 외부 IP 주소를 포함할 수 있는 인스턴스를 정확하게 제어해야 할 경우, 이 방식은 보안상 문제가 될 수 있습니다. allowedValues 목록에서 특정 인스턴스를 삭제하려면, 인스턴스를 하위 계층의 deniedValues 목록에 넣는 대신 allowedList에서 인스턴스를 삭제하도록 기존 정책을 업데이트합니다.

  • 리소스 계층의 대부분에 적용할 정책을 설정하되 특정 프로젝트를 제외시키려는 경우 기본 정책을 복원해야 합니다. 이때 프로젝트의 모든 VM이 외부 IP 주소와 연결될 수 있도록 restoreDefault 객체를 지정하여 setOrgPolicy 메서드를 사용하면 됩니다. 프로젝트에 현재 적용된 정책은 이 기본 설정의 영향을 받지 않습니다.

  • 환경을 보다 효과적으로 제어하려면 이 조직 정책을 IAM 역할과 함께 사용합니다. 이 정책은 VM 인스턴스에만 적용되지만, 네트워크 기기에서 외부 IP 주소를 더 효과적으로 제어하고 제한하려는 경우 적절한 당사자에게 compute.networkAdmin 역할을 부여할 수 있습니다.

  • 정책이 사용 설정된 상태로 Compute Engine에서 실행되고 있는 조직 또는 프로젝트 내의 모든 서비스 및 제품은 이 조직 정책의 영향을 받습니다. 특히 Google Kubernetes Engine, Dataflow, Dataproc, Cloud SQL 같은 서비스가 이 정책의 영향을 받습니다. 이것이 문제가 될 경우에는 조직 정책이 적용되지 않는 다른 프로젝트에서 다른 서비스 및 제품을 설정하고 필요한 경우 교차 프로젝트 네트워킹을 사용하는 것이 좋습니다.

다음 단계